[发明专利]一种基于拓展攻击树模型的木马检测方法

权利要求书

1.一种基于拓展攻击树模型的木马检测方法，其特征在于，包括：

通过对木马程序进行静态特征分析，获取操作码OPCode序列，从所述操作码OPCode序列中提取木马特征OPCode短序列；

通过对木马程序进行动态特征分析，获取API调用序列，从所述API调用序列中提取木马特征API短序列；

根据所述OPCode短序列和API短序列构建原始拓展攻击树；并将所述原始拓展攻击树的节点的权重参数初始化，作为第一个攻击树基本学习器；所述根据所述OPCode短序列和API短序列构建原始拓展攻击树，具体包括：

根据所述OPCode短序列和API短序列，列出所述OPCode短序列和API短序列所达成的攻击目标作为攻击子目标；

分析所述攻击子目标之间的依赖关系，从而构建出若干棵最大拓展攻击树，所述若干棵最大拓展攻击树组成一个森林；

新建Root节点将所述森林中的每棵树的根节点作为Root节点的子节点，如此，完成原始拓展攻击树的构建；

动态更新所述权重参数得到若干个攻击树基本学习器，通过集成学习构建强学习器，进行木马检测。

2.如权利要求1所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述获取操作码OPCode序列采用以下方法：

使用反汇编软件IDA Pro对木马程序进行反汇编处理，获取木马程序的Asm格式的PE文件，然后对所述PE文件进行分析，提取操作码OPCode序列。

3.如权利要求1所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述获取API调用序列采用以下方法：

首先按照功能模块对木马程序进行划分，然后针对每个所述功能模块划分攻击子目标，循环直至不能再划分；最后对所述攻击子目标所调用的API进行提取，得到API调用序列。

4.如权利要求1或2所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述从所述操作码OPCode序列中提取木马特征OPCode短序列，具体为：首先通过IDA反编译工具生成.asm文件，然后通过程序自动解析.acm文件获得OPCode序列，最后提取OPCode上下文特征，生成OPCode短序列。

5.如权利要求1或3所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述从所述API调用序列中提取木马特征API短序列，具体为：遍历所述API调用序列，依次选取每一个中心词的上下文序列，构成API短序列。

6.如权利要求5所述的基于拓展攻击树模型的木马检测方法，其特征在于，如果某一个所述中心词没有上文或者没有下文，则置为缺失状态。

7.如权利要求1或2或3所述的基于拓展攻击树模型的木马检测方法，其特征在于，在所述提取木马特征API短序列后，对所述API短序列的危险性进行标注。

8.如权利要求7所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述对所述的API短序列的危险性进行标注，具体包括：

9.1、将所述API短序列的每一个函数的危险等级分为四个等级，每一个等级表示相应的API函数的危险状态；

9.2、随机选取N个正常程序文件和N个木马文件，遍历其PE文件中的导入函数表IAT，查找每一个API函数可能存在哪些文件的导入表中，从而计算出已经提取的所有API函数的木马危险指数；

9.3、根据所述木马危险指数的取值范围为每一个API函数划分危险等级，进行标注，得到API函数对应的危险性标注序列；

9.4、将所述API函数以及对应的危险性标注序列作为输入，进行条件随机场模型学习；

9.5、输入待测目标文件的API短序列到学习后的条件随机场模型中，输出API短序列的危险性标注序列。

9.如权利要求1或2或3所述的基于拓展攻击树模型的木马检测方法，其特征在于，所述权重参数动态更新，采用以下方式：

10.1、将第一个攻击树基本学习器作为当前基本学习器；

10.2、用所述当前基本学习器对木马训练样本做预测，计算预测的错误率，再由所述错误率计算该学习器的权重参数；

10.3、对于被错分类的木马样本，找出被错分类的木马样本在攻击树匹配过程中被高亮标记的节点，找出高亮节点之后更新该节点的权重参数；

10.4、将更新之后的攻击树基本学习器重新保存，作为下一个基本学习器；

10.5、将所述下一个基本学习器作为当前基本学习器，重复上述10.2～10.4的过程，得到若干个攻击树基本学习器及其对应的权重参数。